Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000175263

如何使用 Live Response 收集 VMware Carbon Black Endpoint 感應器記錄

Summary: 您可以依照下列指示,使用 Live Response 以遠端方式收集 VMware Carbon Black Endpoint 感應器記錄。

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

如何在 VMware Carbon Black Cloud 主控台使用 Live Response 功能,遠端收集 VMware Carbon Black Endpoint 和 Carbon Black Defense 記錄。

受影響的產品:

  • VMware Carbon Black Endpoint

受影響的版本:

  • v3.4 及更新版本

受影響的作業系統:

  • Windows

Cause

不適用

Resolution

VMware Carbon Black Cloud 的 Live Response 功能是一種從 Microsoft Windows 端點遠端收集感應器記錄的方法,可提供進行故障診斷的支援。

請確定已啟用端點的 Live Response 原則。預設設定為停用。

若要使用即時回應來收集記錄,系統管理員必須先 啟用原則執行即時回應,然後 再下載記錄。如需詳細資訊,請按一下適當的動作。

注意:本文著重說明如何使用 Live Response 功能收集記錄。如需如何為所有作業系統手動收集記錄的詳細資訊,請參閱如何收集 VMware Carbon Black Cloud Endpoint 感應器的記錄

啟用原則

若要確認原則已啟用:

  1. 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
  1. 登入 VMware Carbon Black Cloud。

VMware Carbon Black Cloud 登入

  1. 在左側功能表窗格中,按一下強制執行

強制執行

  1. 按一下原則

原則

  1. 選取原則。

選取原則

  1. 按一下感應器標籤,然後確認啟用 Live Response 已選取。

啟用 Live Response

執行 Live Response

執行 Live Response 會根據 VMware Carbon Black Cloud Endpoint 感應器的版本而有所不同。如需詳細資訊,請按一下適當的版本。

注意:如需識別版本的詳細資訊,請參閱如何識別 VMware Carbon Black Cloud Endpoint 感應器版本

若要使用 3.6 版及更新版本的 Live Response:

  1. 在左側功能表窗格中,按一下端點

端點

  1. 在所有感應器的使用者介面 (UI) 中:
    1. 尋找適當的裝置名稱
    2. 按一下動作底下的下拉式方塊。
    3. 按一下 Live Response

所有感應器使用者介面

  1. 當 Live Response 連線後,輸入 cd c:\program files\confer 並按下 Enter 鍵。

變更 Live Response 中的目錄

  1. 輸入 execfg cmd /c repcli capture “[PATH]”,然後按下 Enter 鍵。這會執行 RepCLI Utility,以擷取記錄。

擷取 Live Response 中的記錄

注意:[PATH] = 記錄目的地資料夾的絕對路徑

擷取完成後,提示表示擷取的記錄會放置在指定的目的地資料夾中,檔案名為 psc_sensor.zip

注意:這可能需要幾分鐘的時間,視正在擷取記錄的端點和接收檔案的裝置的網路頻寬而定。

若要使用 3.4 至 3.5 版的 Live Response:

  1. 在左側功能表窗格中,按一下端點

端點

  1. 在所有 Esensor 使用者介面 (UI) 中:
    1. 尋找適當的裝置名稱
    2. 按一下動作底下的下拉式方塊。
    3. 按一下 Live Response

所有感應器使用者介面

  1. 當 Live Response 連線後,輸入 cd c:\program files\confer 並按下 Enter 鍵。

變更 Live Response 中的目錄

  1. 輸入 execfg repcli capture,然後按下 Enter 鍵。這會執行 RepCLI Utility,以擷取記錄。

擷取 Live Response 中的記錄

擷取完成後,提示表示擷取的記錄會以檔案名放 C:\Windows\Temp\cb-temppsc_sensor.zip

注意:這可能需要幾分鐘的時間,視正在擷取記錄的端點和接收檔案的裝置的網路頻寬而定。

下載記錄

若要下載記錄:

  1. 輸入 cd C:\Windows\Temp\cb-temp,然後按下 Enter 鍵。
注意:如果僅需要 confer.log,可以直接透過以下方式收集:瀏覽至 C:\Program Files\Confer、輸入 get confer.log,然後按 Enter 鍵。
  1. 輸入 get psc_sensor.zip,然後按下 Enter 鍵。

使用 Live Response 取得檔案

  1. 檔案會使用英數字元的檔名下載到您的本機電腦。將檔案重新命名以加入 .zip 副檔名。
注意:
  • 英數字元的檔名範例:36355d97-18f4-416e-be8f-473bda7c30fb
  • 重新命名的檔名範例:SensorCapture.zip

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

Additional Information

 

Videos

 

Article Properties

Affected Product

VMware Carbon Black

Last Published Date

03 Feb 2023

Version

18

Article Type

Solution

Back to Top